[发明专利]基于入侵容忍的信息资产保护方法

权利要求书

1.一种基于入侵容忍的信息资产保护方法，其特征在于首先采用过滤驱动技术对核心数据及服务进行监控，根据监控反馈结果，利用状态转移算法进行状态控制，并采用多因素模糊模型进行综合状态评估，评估结果以事件的方式传递给系统，进行响应与故障恢复的处理，从而保障在入侵情况下，依然能够保障核心信息资产安全和服务不中断。

2.根据权利要求1所述的基于入侵容忍的信息资产保护方法，其特征在于利用状态转移算法进行状态控制，即：

(1)系统分为以下四个状态：正常服务状态，入侵可疑状态，系统入侵状态和退化服务状态，每个状态对应不同的入侵容忍防护策略；

(2)正常服务状态是指入侵容忍的状态检测模块在没有发现系统功能异常和系统性能下降的情况下，采取安全防御机制最小化的原则，降低监测内容，减少检测项目，提高系统服务效率。

当入侵容忍的状态检测模块发现系统的某项服务功能异常，或者系统性能下降，系统立即进入入侵可疑状态；

(3)在入侵可疑状态下，系统首先评估主机功能、性能下降的程度，如果在可以容忍的范围内，系统采取提高监测频率、增加检测项目、安全事件报警和系统数据备份等安全策略。

当发现确定的安全事件与攻击时，系统将转入系统入侵状态，当系统功能、性能失常或丧失时，主机进入退化服务状态；

(4)在系统入侵状态下，主机将根据入侵性质，采取严密地入侵防御手段：服务迁移、安全扫描和数据恢复。当安全报警消除，系统服务恢复时，系统恢复至正常服务状态；

(5)在退化服务状态情况下，主机将调用状态评估模块对系统功能、服务进行评价，并根据预先定义的安全策略采取相应操作：安全扫描、灾难恢复和还原重构。当系统数据恢复，功能、性能正常时，系统恢复至正常服务状态。

3.根据权利要求1所述的基于入侵容忍的信息资产保护方法，其特征在于采用多因素模糊模型进行综合状态评估，即：

(1)主机运行的状态和服务性能通过观察状态检测模块采集的CPU利用率、内存利用率、网络带宽占用率、服务器响应时间、事务处理平均时间、吞吐量、并发连接数、服务请求失败率等指标来做综合的评估；

(2)从上述指标中选取若干，如，选取CPU利用率、内存利用率、带宽占用率、服务请求响应时间、并发连接数五项指标建立机模糊综合评价的因素集U＝{CPU利用率，内存利用率，带宽占用率，服务请求响应时间，并发连接数}；

(3)采用专家调查加权法确定各因素所占的权重，针对因素集U，有K个专家各自独立的给出了各因素U_i(i＝1，2...，5)的权重，根据专家调查加权法，该模糊综合评价问题的权重向量A可表示为：A=(1KΣi=1kai1,Σi=1kai2,···,Σi=1kai5);]]>

(4)主机运行状态评语集V＝{v₁，v₂，v₃，v₄}＝{正常，可疑，入侵，退化}则基于主机运行状态参数的模糊综合评价模型可以表示为：

式中，a_i-单因素U_i(i＝1，2，…，5)的权重系数，ai=1KΣj=1Kaji]]>

r_i-单因素U_i(i＝1，2，…，5)的评判向量；

B-基于评语集V的综合评判结果；

ο-模糊综合评判中的合成运算，可以根据具体情况选择“∨-∧”(主因素决定型)，“∨-·”、“-∧”(主因素突出型)或“-·”(加权平均型)。

(5)依据多因素模糊综合评价模型对一段时间内主机提取的检测数据进行综合分析，给出相应的运行状态评语。